VirusTotal : scanner un fichier avec plusieurs antivirus

VirusTotal est un service gratuit qui permet d’analyse un fichier ou URL à plusieurs moteurs d’antivirus.
Il offre aussi d’autres fonctions.

La page principale permet d’accéder aux divers fonctions du service, ainsi vous pouvez :

  • Analyser un fichier sur plusieurs antivirus (onglet fichier)
  • Analyser une URL avec plusieurs antivirus (onglet URL)
  • Recherche un fichier ou une URL, domaine dans une base de données (onglet recherche)

Ainsi VirusTotal aide à déterminer si un fichier ou un site est malveillant ou légitime.
Il vous aide à déterminer le statut de ce dernier.

Voici un tutoriel qui vous donne les grandes lignes pour utiliser VirusTotal.

VirusTotal : scanner un fichier avec plusieurs antivirus

Analyser un fichier sur VirusTotal

Voici le lien pour l’ouvrir : se connecter à VirusTotal

Pour l’utiliser, rendez-vous sur la page principale.
L’onglet :

  • Fichier pour soumettre un fichier à l’analyse
  • URL pour vérifier l’adresse d’un site WEB.
  • Rechercher pour trouver un fichier par son hash, un domaine ou url.
La page principale de VirusTotal

Cliquez sur le bouton Importer et Analyser un fichier.
Ensuite naviguez dans vos dossiers afin de sélectionner le fichier.
Enfin l’analyse se lance.

L’analyse antivirus du fichier s’effectue et le résultat apparaît.
En haut vous avez le statut général avec le nombre de détection.
Quelques informations comme le hash, la taille du fichier.
Enfin la liste des antivirus détectant le fichier sont en rouge.

Tutoriel VirusTotal : scanner un fichier avec plusieurs antivirus

Commentaires et communautés VirusTotal

Enfin, la communauté peut voter pour évaluer sur un fichier.
Cela afin de donner un statut final qui se trouve en haut de la détection.

Tutoriel VirusTotal : scanner un fichier avec plusieurs antivirus

En cliquant sur Commentaires, on peut lire les commentaires déposés par des utilisateurs.
Les jauges rouges et vertes indiquent si la communauté estime si le fichier est sain ou malveillant.

Tutoriel VirusTotal : scanner un fichier avec plusieurs antivirus

Recherche de fichier ou URL sur VirusTotal

VirusTotal stocke toutes les analyses antivirus.
Ce qui permet au service VirusTotal d’offrir des statistiques ou d’interroger automatiquement cette base par des applications tiers.
Cette base de données est d’ailleurs disponible depuis l’onglet Rechercher.
Il est possible de retrouver des détections par des adresses WEB (URL), IP, hashs de fichiers ou nom de malwares.

Recherche une URL ou adresse IP

Par exemple, il est possible sur une adresse IP, d’obtenir tous les domaines qui lui sont rattachés.
On peut aussi lister tous les fichiers qui ont pu être en lien avec ces domaines.

La liste des domaines liés à une adresse IP

VirusTotal utilisation Avancée

Se reporter à la page : VirusTotal : lecture avancée d’un scan

La partie « Comportement » est un bac à sables (sandbox) qui génère un rapport des actions effectués par le fichier.
On retrouve par exemple la création de processus et de fichiers, les requêtes internet, etc.
Notez qu’un malware avec des fonctionnalités Anti-sandbox doit pouvoir outrepasser cette sandbox.
Cette partie est détaillée et expliquée sur la page : VirusTotal : Comment visualiser le comportement et activité d’un malware

Intégration

Ajout dans les menus contextuels

VT propose un outil afin d’ajouter un menu déroulant sur Windows, MacOS et Linux.
Cela permet d’envoyer un fichier de votre PC à vérification VT.

Rendez-vous sur la page suivante.
Puis téléchargez et lancez l’installation.

Ajouter VirusTotal en menu contextuel

Enfin une fois terminé, lors d’un clic droit sur un fichier, le menu Send to VirusTotal s’affiche.
Le navigateur WEB s’ouvre sur l’analyse VT du fichier.

Ajouter VirusTotal en menu contextuel

Dans des logiciels

Des logiciels peuvent interroger le service afin de transmettre le statut du fichier.
Ainsi les outils comme Process Explorer ou Autoruns intègrent les analyses VirusTotal.
Au final, on peut évaluer les processus en cours d’exécution sur l’ordinateur.

Process Explorer et scan VirusTotal
Process Explorer et scan VirusTotal

Les Limites de VirusTotal

L’analyse des fichiers est statique.
C’est à dire que les antivirus ne procèdent qu’à un scan de la structure du fichier et à aucun moment n’exécute ce dernier.
De ce fait, les analyses comportementales ne sont pas utilisées.
Plus d’informations, sur le fonctionnement de ces analyses, rendez-vous sur la page : les antivirus
D’autre parts, certains moteurs n’utilisent pas les systèmes Cloud Antivirus.

C’est assez flagrant sur cette vidéo où sur l’analyse VirusTotal, Avast! ne détecte pas le fichier.
Alors qu’en réalité, le fichier est bien bloqué par l’antivirus et la partie Cloud.

La partie Sandbox n’est pas non plus présente sur VirusTotal.
En d’autre terme, VirusTotal n’utilise pas l’intégralité des modules de détection d’un antivirus.
Ce service n’utilise que les détections de signatures de fichiers ou détections génériques de fichiers.

Les tutoriels se basant sur VirusTotal ne sont donc pas du tout parlant.
En effet si un antivirus ne détecte pas un malware sur VirusTotal, vous n’êtes pas du tout certains qu’en réalité, l’antivirus en question ne vous en protège pas.

Conclusion

VirusTotal est un outil tout à fait pratique pour avoir une idée générale d’un fichier.
Si de multiples antivirus détectent un fichier comme malveillant, il y a de grandes chances que ce dernier le soit.
En cas de doute, n’hésitez pas à poser la question sur le forum du site, si vous avez besoin d’une contre analyse.

Vous pouvez lire en parallèle page Malwr et Cuckoo : bac à sables (sandbox) qui permet aussi d’aider à déterminer si un fichier est potentiellement malicieux.

image_pdfimage_print
(Visité 4 329 fois, 1 visites ce jour)

Partager l'article